เตือนช่องโหว่ PHP รันบน NGINX Server เสี่ยงถูกแฮ็กเว็บไซต์ได้

Andrew Danau และทีมนักวิจัยด้านความมั่นคงปลอดภัย Wallarm ได้ออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution บนเว็บไซต์ PHP ที่เปิดใช้ฟีเจอร์ PHP-FPM และรันบน NGINX Server เสี่ยงถูกแฮ็กเกอร์ลอบรันคำสั่งแปลกปลอมจากระยะไกลได้ เริ่มพบเห็นรายงานการโจมตีผ่านช่องโหว่นี้แล้ว

Credit: Maxim Maksutov/ShutterStock

ช่องโหว่ดังกล่าวมีรหัส CVE-2019-11043 ถูกค้นพบขณะที่ Danau และทีมนักวิจัยกำลังแข่งขัน Capture the Flag เป็นช่องโหว่บนฟีเจอร์ PHP-FPM (FastCGI Process Manager) ที่ช่วยเพิ่มประสิทธิภาพในการประมวลผลสคริปต์ภาษา PHP ให้ดียิ่งขึ้น สาเหตุหลักของช่องโหว่นี้อยู่ที่ “env_path_info” ซึ่งก่อให้เกิดปัญหา Memory Corruption เมื่อรวมช่องโหว่นี้เข้าด้วยกันกับปัญหาอื่นๆ จะช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution บน Web Server ที่ใช้ NGINX ได้

ช่องโหว่นี้ส่งผลกระทบบนเว็บไซต์ PHP ที่รันบน NGINX Server และมีการเปิดใช้ฟีเจอร์ PHP-FPM เท่านั้น ถึงแม้ว่า PHP-FPM จะไม่ใช่โมดูลมาตรฐานที่ติดตั้งใช้งานบน NGINX แต่ก็มีผู้ให้บริการ Web Hosting หลายรายที่เปิดใช้ฟีเจอร์ดังกล่าวเพื่อเพิ่มประสิทธิภาพการใช้ PHP

การโจมตีผ่านช่องโหว่นี้นับว่าไม่ยากนัก และมี PoC Exploit Code ถูกเผยแพร่เป็นที่เรียบร้อยผ่านทาง GitHub และพบรายงานการโจมตีผ่านช่องโหว่ดังกล่าวให้เห็นบ้างแล้ว แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์เป็น PHP 7.3.11 หรือ 7.2.24 เพื่ออุดช่องโหว่โดยเร็ว

รายละเอียดเชิงเทคนิค: https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/

ที่มา: https://thehackernews.com/2019/10/nginx-php-fpm-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft เผย 3 เทคนิค Phishing อันแนบเนียนที่ควรพึงระวัง

Microsoft ได้ออกรายงานแนวโน้มภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ที่เกิดขึ้นในปี 2019 ระบุว่า Phishing เป็นหนึ่งใในไม่กี่รูปแบบการโจมตีที่ยังคงพบบ่อยมากขึ้นในช่วง 2 ปีที่ผ่านมานี้ ในขณะที่ Ransomware, Crypto-mining และมัลแวร์รูปแบบอื่นๆ เริ่มพบน้อยลง

Microsoft Threat Protection เปิดให้ทดลองใช้งานแล้ว

Microsoft ประกาศเปิดให้ทดลองใช้ Microsoft Threat Protection แบบ Public Preview เพิ่มความสามารถในการตอบสนองต่อภัยคุกคามโดยอัตโมมัติ รวมไปถึงแก้ปัญหาที่เกิดขึ้นบนอุปกรณ์ อัตลักษณ์ของผู้ใช้งาน และกล่องอีเมลได้ด้วยตนเอง